홈
제품
Red Hat Enterprise Linux
8
IdM 사용자, 그룹, 호스트 및 액세스 제어 규칙 관리
52.3. Ansible을 사용하여 AD 사용자가 IdM 관리 가능

52.3. Ansible을 사용하여 AD 사용자가 IdM 관리 가능

ansible-freeipa idoverrideuser 및 group 모듈을 사용하여 신뢰할 수 있는 AD 도메인에서 Active Directory(AD) 사용자에 대한 사용자 ID 덮어쓰기를 생성하고 IdM 사용자의 사용자와 동일하게 사용자 권한을 부여할 수 있습니다. 이 절차에서는 AD에 저장된 사용자의 ad_user@ad.example.com ID 덮어쓰기가 첫 번째 플레이북 작업에 추가된 기본 신뢰 보기 ID 뷰의 예제를 사용합니다. 다음 플레이북 작업에서는 ad_user@ad.example.com ID 덮어쓰기가 IdM admins 그룹에 멤버로 추가됩니다. 결과적으로 AD 관리자는 두 개의 서로 다른 계정과 암호 없이 IdM을 관리할 수 있습니다.

사전 요구 사항

IdM 관리자 암호를 알고 있습니다.
AD에 대한 트러스트를 설치했습니다.
사용자 ID 재정의를 추가하는 그룹이 IdM에 이미 있습니다.
IdM 이상의 4.8.7 버전을 사용하고 있습니다. 서버에 설치된 IdM 버전을 보려면 ipa --version 을 입력합니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.13 이상을 사용하고 있습니다.
- RHEL 8.10 이상을 사용하고 있습니다.
- ansible-freeipa 패키지가 설치되어 있습니다.
- 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
- 이 예제에서는 secret.yml Ansible 자격 증명 모음이 ipaadmin_password 를 저장하는 것으로 가정합니다.
AD 포리스트는 IdM을 신뢰하고 있습니다. 이 예에서 AD 도메인 이름은 ad.example.com 이고 AD 관리자의 FQDN(정규화된 도메인 이름)은 ad_user@ad.example.com 입니다.
인벤토리 파일의 ipaserver 호스트는 신뢰 컨트롤러 또는 신뢰 에이전트로 구성됩니다.
ansible-freeipa 모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.

절차

~/MyPlaybooks/ 디렉터리로 이동합니다.
```
cd ~/MyPlaybooks/
```
```
$ cd ~/MyPlaybooks/
```
Copy to Clipboard Toggle word wrap

기본 신뢰 뷰에 ad_user@ad.example.com 사용자를 추가하는 작업과 함께 enable-ad-admin-to-administer-idm.yml 플레이북을 생성합니다.

---
- name: Enable AD administrator to act as a FreeIPA admin
  hosts: ipaserver
  become: false
  gather_facts: false

  tasks:
  - name: Ensure idoverride for ad_user@ad.example.com in 'Default Trust View'
    ipaidoverrideuser:
      ipaadmin_password: "{{ ipaadmin_password }}"
      idview: "Default Trust View"
      anchor: ad_user@ad.example.com

---
- name: Enable AD administrator to act as a FreeIPA admin
  hosts: ipaserver
  become: false
  gather_facts: false

  tasks:
  - name: Ensure idoverride for ad_user@ad.example.com in 'Default Trust View'
    ipaidoverrideuser:
      ipaadmin_password: "{{ ipaadmin_password }}"
      idview: "Default Trust View"
      anchor: ad_user@ad.example.com

Copy to Clipboard

Toggle word wrap

예에서는 다음을 수행합니다.

ad_user@ad.example.com 는 신뢰가 설정된 AD 도메인에 저장된 AD 사용자의 사용자 ID 덮어쓰기입니다.

동일한 플레이북에서 다른 플레이북 작업을 사용하여 admins 그룹에 AD 관리자 사용자 ID 덮어쓰기를 추가합니다.

  - name: Add the AD administrator to `admins` group
    ipagroup:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: admins
      idoverrideuser:
      - ad_user@ad.example.com

  - name: Add the AD administrator to `admins` group
    ipagroup:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: admins
      idoverrideuser:
      - ad_user@ad.example.com

Copy to Clipboard

Toggle word wrap

예에서는 다음을 수행합니다.

관리자는 ad_user@ad.example.com ID 덮어쓰기를 추가하는 IdM POSIX 그룹의 이름입니다. 이 그룹의 멤버는 전체 관리자 권한이 있습니다.

파일을 저장합니다.

Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.

ansible-playbook --vault-password-file=password_file -v -i inventory enable-ad-admin-to-administer-idm.yml

$ ansible-playbook --vault-password-file=password_file -v -i inventory enable-ad-admin-to-administer-idm.yml

Copy to Clipboard

Toggle word wrap

다음 단계

AD 사용자가 IdM CLI에서 올바른 명령을 수행할 수 있는지 확인

맨 위로 이동

52.3. Ansible을 사용하여 AD 사용자가 IdM 관리 가능

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links